Consejos de Londres afectados por un ciberataque que provoca interrupciones generalizadas de servicios

Tres consejos municipales de Londres se han visto obligados a activar medidas de emergencia tras un ciberataque que causó importantes interrupciones en los servicios a través de sistemas informáticos compartidos. El Royal Borough of Kensington and Chelsea y el Westminster City Council confirmaron que varios sistemas internos fueron afectados, incluidas las líneas telefónicas y los servicios de contacto en línea, lo que llevó a cierres preventivos para limitar más daños y proteger los datos de los residentes. Debido a la infraestructura compartida, el London Borough of Hammersmith and Fulham también implementó salvaguardias adicionales, lo que provocó más interrupciones operativas.

Las autoridades indicaron que están trabajando estrechamente con especialistas en respuesta a incidentes cibernéticos y con el National Cyber Security Centre. Las investigaciones siguen en curso y, aunque ningún grupo de amenazas ha reivindicado públicamente la responsabilidad, expertos en seguridad creen que el incidente podría implicar ransomware vinculado a un proveedor de servicios externo. La Information Commissioner’s Office ha sido notificada y los residentes están siendo informados a medida que los sistemas se restauran gradualmente.

El ataque a la cadena de suministro Shai-Hulud salta de npm a Maven y expone a miles de desarrolladores

Una segunda ola del ataque a la cadena de suministro Shai-Hulud se ha extendido más allá de npm y ahora ha alcanzado el ecosistema Maven, lo que pone de relieve el creciente riesgo para las cadenas de suministro de software de código abierto. Los investigadores identificaron un paquete Maven malicioso, org.mvnpm:posthog-node:4.18.1, que refleja los mismos componentes sigilosos utilizados anteriormente en bibliotecas npm comprometidas. Aunque el paquete no fue publicado directamente por el proyecto original, fue generado automáticamente por un sistema que vuelve a empaquetar módulos npm como artefactos Maven. Todas las copias infectadas conocidas ya han sido eliminadas.

El ataque está diseñado para robar datos sensibles, incluidas credenciales en la nube, claves API y tokens de GitHub y npm, además de permitir una mayor compromisión de los entornos de desarrollo. Más de 28.000 repositorios han sido afectados, con miles de secretos expuestos. El malware utiliza técnicas avanzadas de evasión, flujos de trabajo CI maliciosos y autorreplicación para propagarse rápidamente. Los equipos de seguridad están instando a la rotación inmediata de claves, auditorías de dependencias y el endurecimiento de los entornos CI/CD.

Ciberataque al proveedor de CodeRED deja a ciudades de EE. UU. sin servicio de alertas de emergencia

Pueblos y ciudades de todo Estados Unidos perdieron el acceso al sistema de alertas de emergencia CodeRED tras un ciberataque al proveedor Crisis24. La plataforma se utiliza para enviar mensajes de seguridad pública en tiempo real, incluidas alertas meteorológicas, avisos de personas desaparecidas e incidentes de seguridad. Múltiples municipios emitieron avisos casi idénticos confirmando la interrupción del servicio tras la brecha.

El condado de Douglas, en Colorado, ha rescindido su contrato y está buscando un proveedor alternativo, mientras que otras autoridades esperan a que Crisis24 complete el trabajo en una nueva plataforma que, según se informa, opera en un entorno separado y no comprometido. Varias regiones han recurrido temporalmente a notificaciones a través de redes sociales o comunicaciones puerta a puerta.

Crisis24 confirmó que se accedió a datos personales, incluidos nombres, direcciones, correos electrónicos, números de teléfono y contraseñas. Se ha recomendado a los residentes que cambien sus contraseñas, especialmente si se reutilizaron en otros servicios. El grupo de ransomware INC ha reivindicado la responsabilidad, ha publicado muestras de los datos robados y ha amenazado con vender la información restante tras el fracaso de las negociaciones de rescate.

CISA advierte sobre campañas de espionaje que utilizan spyware para atacar aplicaciones de mensajería

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. ha emitido una advertencia señalando que actores maliciosos están utilizando activamente spyware comercial y troyanos de acceso remoto para atacar a los usuarios de aplicaciones populares de mensajería móvil. Según la agencia, los atacantes emplean técnicas de ingeniería social altamente dirigidas para secuestrar cuentas y acceder a comunicaciones privadas, antes de desplegar malware adicional para comprometer completamente los dispositivos de las víctimas.

Las campañas recientes incluyen intentos de hacerse con el control de cuentas de Signal mediante la función de dispositivos vinculados, operaciones de spyware para Android como ProSpy, ToSpy y ClayRat, y la explotación dirigida de vulnerabilidades previamente desconocidas en dispositivos iOS, WhatsApp y Samsung. Estos ataques suelen basarse en códigos QR de vinculación de dispositivos, exploits de “cero clic” y versiones falsas de aplicaciones de confianza.

La actividad está dirigida principalmente a individuos de alto valor, incluidos funcionarios gubernamentales, personal militar y figuras de la sociedad civil en Estados Unidos, Europa y Oriente Medio. CISA ha instado a los usuarios en riesgo a adoptar una autenticación más robusta, proteger las cuentas móviles y actualizar periódicamente los dispositivos para reducir la exposición.

El FBI advierte de un fuerte aumento del fraude por toma de control de cuentas vinculado a estafas de suplantación bancaria

El FBI ha informado de un aumento significativo del fraude por toma de control de cuentas, con criminales que han robado más de 262 millones de dólares desde el inicio del año suplantando a instituciones financieras. El Internet Crime Complaint Center ha recibido más de 5.100 informes de estos ataques, que han afectado a individuos, empresas y organizaciones en múltiples sectores.

En estos esquemas, los actores maliciosos utilizan phishing, sitios web falsos y técnicas de ingeniería social para engañar a las víctimas y conseguir sus credenciales de inicio de sesión y códigos de un solo uso. Una vez obtenido el acceso, los criminales transfieren rápidamente los fondos a cuentas vinculadas a monederos de criptomonedas y luego cambian las contraseñas para bloquear a los propietarios legítimos. La recuperación suele ser extremadamente difícil debido a la velocidad de las transferencias y al uso de criptomonedas.

El FBI ha instado a los usuarios a supervisar de cerca sus cuentas financieras, utilizar contraseñas fuertes y únicas, habilitar la autenticación multifactor y acceder a los sitios bancarios solo a través de marcadores de confianza. Se ha aconsejado a las víctimas que contacten inmediatamente con su banco, soliciten la recuperación de fondos y denuncien los incidentes a través de los canales oficiales.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.